安全更新后 AD(PAM)身份验证停止工作

安全更新后 AD(PAM)身份验证停止工作

我有一台配置了 AD 身份验证的 Ubuntu 16.04 GIT 服务器。身份验证昨天停止工作,而 GIT 服务器或 AD 上没有任何变化。以下是错误消息:

pam_winbind(sshd:auth):请求 wbcLogonUser 失败:WBC_ERR_AUTH_ERROR,PAM 错误:PAM_AUTH_ERR (7),NTSTATUS:NT_STATUS_LOGON_FAILURE,错误消息为:登录失败

我注意到有一个与 Samba 相关的无人值守安全升级,如下所示。

开始日期:2019-04-09 06:59:58 命令行:/usr/bin/unattended-upgrade 升级:python-samba:amd64(2:4.3.11 + dfsg-0ubuntu0.16.04.18、2:4.3.11 + dfsg-0ubuntu0.16.04.19),libwbclient0:amd64(2:4.3.11 + dfsg-0ubuntu0.16.04.18、2:4.3.11 + dfsg-0ubuntu0.16.04.19),libsystemd0:amd64(229-4ubuntu21.16、229-4ubuntu21.21),samba:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18、2:4.3.11+dfsg-0ubuntu0.16.04.19),samba-dsdb-modules:amd64(2:4.3.11+dfsg-0ubuntu0.16.04.18、2:4.3.11+dfsg-0ubuntu0.16.04.19),udev:amd64(229-4ubuntu21.16、229-4ubuntu21.21),libudev1:amd64(229-4ubuntu21.16、229-4ubuntu21.21),samba-libs:amd64 (2:4.3.11 + dfsg-0ubuntu0.16.04.18,2:4.3.11 + dfsg-0ubuntu0.16.04.19),libpam-winbind:amd64(2:4.3.11 + dfsg-0ubuntu0.16.04.18,2:4.3.11 + dfsg-0ubuntu0.16.04.19),winbind:amd64(2:4.3.11 + dfsg-0ubuntu0.16.04.18,2:4.3.11 + dfsg-0ubuntu0.16.04.19),samba-common:amd64(2:4.3.11 + dfsg-0ubuntu0.16.04.18, 2:4.3.11 + dfsg-0ubuntu0.16.04.19),systemd-sysv:amd64(229-4ubuntu21.16、229-4ubuntu21.21),libnss-winbind:amd64(2:4.3.11 + dfsg-0ubuntu0.16.04.18,2:4.3.11 + dfsg-0ubuntu0.16.04.19),libpam-systemd:amd64(229-4ubuntu21.16、229-4ubuntu21.21),samba-vfs-modules:amd64(2:4.3.11 + dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19)、systemd:amd64(229-4ubuntu21.16、229-4ubuntu21.21)、samba-common-bin:amd64(2:4.3.11+dfsg-0ubuntu0.16.04.18、2:4.3.11+dfsg-0ubuntu0.16.04.19)结束日期:2019-04-09 07:00:51(结束)

我不太熟悉 samba/pam 身份验证,因此我愿意接受任何关于如何解决该问题的建议(除了回滚)。

https://usn.ubuntu.com/3939-1/-> 这似乎是触发安全更新的漏洞。

答案1

在我的例子中,错误略有不同

sshd[27281]: pam_winbind(sshd:auth): 请求 wbcLogonUser 失败:WBC_ERR_AUTH_ERROR,PAM 错误:PAM_AUTH_ERR (7),NTSTATUS:NT_STATUS_LOGON_FAILURE,错误消息为:尝试登录无效。这可能是由于用户名或身份验证信息错误造成的。sshd
[27281]: pam_winbind(sshd:auth): 用户“myusername”被拒绝访问(密码错误或成员资格无效)

我必须关闭 /etc/security/pam_winbind.conf 中的 krb5_auth 才能使其正常工作

krb5_auth = 没有
krb5_ccache_type =

另外,检查主机上的日期和时间是否有正确的,它应该与域控制器上的时间同步。

答案2

使用 RedHat 7 时遇到了非常类似的问题,但也许我的解决方案适用于您的情况。我的机器已加入 AD 域,并配置了 winbind 客户端,因此允许域中的每个人登录(使用 sssd 客户端加入不会导致此行为)。

当我们尝试使用 /etc/ssh/sshd_config 文件中的“AllowGroups”选项限制 SSH 登录时,日志文件中开始出现这些“PAM_AUTH_ERR (7),NTSTATUS: NT_STATUS_LOGON_FAILURE”错误消息。我们配置的 AD 组中存在语法错误,因此任何登录尝试都会失败,即使是该组的成员也是如此。

经过多次思考后,我们注意到了语法错误,然后一切都好了(正确的语法是:AllowGroups“DOMAIN\group in lowercase”,需要双引号,因为组名包含空格)。

希望对你有帮助!

相关内容